7 mars 2024

⚠️ RGPD et prospection commerciale : achat de données, oui mais attention !

COMPLIANCE RGPD

Avocat associé

Dark mode

Dans une délibération du 31 janvier 2024, la Commission Nationale de l’Informatique et des Libertés (en abrégé CNIL, l’autorité de protection des données française, l’équivalent de l’Autorité de Protection des Données ici en Belgique) fait quelques rappels très utiles dans le cadre de l’acquisition de données auprès de courtiers et, de manière plus générale, sur la prospection commerciale et le RGPD.

Tout d’abord, et contrairement aux idées reçues, l’achat de données auprès de courtiers n’est pas interdit par le RGPD. Il doit toutefois répondre à des conditions strictes liées, notamment, à la transparence.

Si ces obligations légales ne sont pas respectées, la sanction peut être lourde. En l’espèce, la société FORIOU a écopé d’une amende de 310.000 €.

En résumé, la société FORIOU opérait du démarchage téléphonique auprès de prospects.

Pour identifier ses prospects, la société FORIOU se fournissait auprès de courtiers qui organisaient, à intervalles très réguliers, des jeux et concours sur internet et des promotions commerciales.

Ces courtiers collectent ainsi des données à caractère personnel et les revendent, notamment à des fins de prospection commerciale.

Ces questionnaires en ligne et ces formulaires de participation reprenaient bel et bien diverses mentions obligatoires liées au RGPD mais la CNIL a estimé, à l’instar de ce que l’on considère en termes de cookies notamment, que la manière de présenter les informations (couleurs, texte, etc.) était très discutable et que dans cette mesure, le consentement originaire de la personne concernée n’était pas valable.

Voici un exemple de formulaire ne permettant pas de collecter valablement des données à caractère personnel :

Formulaire de participation à un concours ne permettant pas de collecter valablement le consentement du participant selon les obligations du RGPD dans le cadre de la prospection commerciale

En bref, l’apparence des formulaires utilisés par les courtiers en données ne permet pas de collecter le consentement éclairé des utilisateurs, conforme aux obligations légales liées au RGPD.

Par voie de conséquence, la société FORIOU n’avait pas de base légale pour prospecter sa clientèle.

Pour rappel, il y a plusieurs bases légales possibles (mais pas illimitée) : le consentement, l’intérêt légitime, l’exécution d’un contrat, par exemple.

En l’occurrence, la base légale du consentement a été rejetée par CNIL, considérant que celui-ci n’avait pas été recueilli validement auprès des personnes concernées.

Un autre point intéressant de cette décision concerne l’aspect contractuel.

En effet, la société FORIOU invoquait le fait qu’elle disposait d’un contrat en bonne et due forme avec le courtier de données.

Il a toutefois été considéré que même si la société FORIOU avait imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval.

Tout d’abord, bien identifier et valider la base légale du traitement de données (consentement, intérêt légitime, exécution d’un contrat, etc.). Cela se fait en général dans le registre des traitements.

Ensuite, il faut s’assurer que le transfert de données est bel et bien contractualisé et que le contrat est mis en pratique. En qualité de responsable de traitement, il faut aller plus loin que le contrat et s’assurer que son partenaire le respecte en pratique.

Enfin, en termes de transparence, s’assurer que le jeu de couleurs, le texte, la police, l’utilisation des boutons, etc. respectent les principes de transparence et évitent d’influencer l’utilisateur.

Un doute sur la légalité de vos traitements ?

Consultez la décision de la CNIL ici

Cet article vous a plu ? Consultez son auteur :

Photo de Frédéric DECHAMPS, avocat fondateur du cabinet LEX4U

Nos autres actualités

7 octobre 2024
Afflux de plaintes contre l'IA pour violation du RGPD : la protection des données freinera-t-elle l'innovation et la compétitivité de l'UE ?
Visé par plusieurs plaintes pour violation du RGPD, X (anciennement Twitter) s’est engagé à ne plus exploiter ...
30 juillet 2024
LES CONDITIONS GÉNÉRALES DE VENTE – UN PAS DE PLUS VERS LA CONFORMITÉ JURIDIQUE DE VOTRE SITE INTERNET
Les conditions générales de vente (ou plus couramment, les « CGV ») constituent le document légèrement rébarbatif ...
13 juin 2024
COOKIES INFORMATIQUES ET CONFORMITÉ JURIDIQUE DE VOTRE SITE INTERNET
Cookies informatiques : que dois-je faire vis-à-vis de ces traceurs pour mettre mon site internet en conformité ...
27 mai 2024
🔏POLITIQUE DE CONFIDENTIALITÉ POUR MON SITE INTERNET : EN AI-JE VRAIMENT BESOIN POUR ÊTRE CONFORME JURIDIQUEMENT ?
Politique de confidentialité, Politique Vie Privée (voire PVP), Déclaration de confidentialité, Politique de protection des données, Charte ...

Contactez-nous pour obtenir l'audit gratuit de votre site web

Nous traiterons vos données conformément à notre politique de confidentialité que vous pouvez consulter ici.

Contactez-nous

Nous traiterons vos données conformément à notre politique de confidentialité que vous pouvez consulter ici.